본문으로 이동

공급망 공격

한울위키, 우리 모두의 백과사전.
섬네일을 만드는 중 오류 발생:
원자재 단계부터 최종 소비자가 획득하기까지 상품이 어떻게 이동하는지 보여주는 공급사슬 네트워크의 기본 다이어그램

공급망 공격 또는 공급사슬 공격(supply chain attack)은 공급사슬에서 덜 안전한 요소를 표적으로 삼아 조직에 피해를 입히려는 사이버 공격이다.[1] 공급망 공격은 금융, 석유 산업에서 정부 부문에 이르기까지 모든 산업에서 발생할 수 있다.[2] 공급망 공격은 소프트웨어 또는 하드웨어에서 발생할 수 있다.[3] 사이버 범죄자들은 일반적으로 악성 소프트웨어 또는 하드웨어 기반 스파이 구성 요소를 설치하여 제품의 제조 또는 유통을 조작한다.[4] 시만텍의 2019년 인터넷 보안 위협 보고서에 따르면 2018년에 공급망 공격이 78% 증가했다.[5]

공급사슬은 벤더로부터 최종 소비자에게 자원을 이동시키기 위해 상품을 취급, 유통, 제조 및 처리하는 활동 시스템이다. 공급사슬은 수요와 공급에 의해 운영되는 상호 연결된 주체들의 복잡한 네트워크이다.[6]

공급망 공격은 보편적으로 합의된 정의가 없는 광범위한 용어이지만,[7][8] 사이버 보안과 관련하여 공급망 공격은 공급사슬 네트워크의 하위 주체에게 해를 끼치기 위해 감지할 수 없는 악성 소프트웨어를 설치할 목적으로 전자 기기(컴퓨터, ATM, 전력 시스템, 공장 데이터 네트워크)를 물리적으로 조작하는 것을 포함할 수 있다.[2][4][9] 또는 이 용어는 소프트웨어 공급망을 악용하는 공격을 설명하는 데 사용될 수 있는데, 다른 소프트웨어에서 사용되는 겉으로 보기에 중요하지 않은 소프트웨어 구성 요소가 해당 구성 요소에 의존하는 더 큰 소프트웨어에 악성 코드를 주입하는 데 사용될 수 있다.[10]

더 넓은 의미에서 공급망 공격은 반드시 전자기기를 포함하지 않을 수도 있다. 2010년 강도들이 지붕에 구멍을 뚫고 8천만 달러 상당의 처방약을 트럭에 싣는 방식으로 제약 대기업 일라이 릴리의 공급 창고에 침입했을 때, 이 역시 공급망 공격을 수행했다고 말할 수 있었다.[11][12] 그러나 이 글은 기술에 의존하는 물리적 공급 네트워크에 대한 사이버 공격을 다룰 것이며, 따라서 공급망 공격은 사이버 범죄자들이 사용하는 방법이다.[13]

공격 프레임워크

일반적으로 정보 시스템에 대한 공급망 공격은 표적 조직에 영향을 미치기 위해 공급 네트워크 구성원 중 가장 취약한 사이버 보안을 가진 구성원을 결정하는 지능형 지속 공격(APT)으로 시작한다.[14][13] 해커는 일반적으로 미국 정부와 같은 대규모 기관을 직접 공격하지 않고, 대신 기관의 소프트웨어를 공격한다. 제3자 소프트웨어는 종종 보호가 덜 되어 있어 더 쉬운 표적이 된다.[15] 버라이즌 엔터프라이즈(Verizon Enterprise)가 작성한 조사에 따르면, 설문 조사에서 분석된 사이버 보안 사고의 92%가 소규모 기업에서 발생했다.[16] 공급사슬 네트워크는 여러 상호 연결된 구성 요소로 인해 특히 취약한 것으로 간주된다.[15]

APT는 제품 생산을 물리적으로 조작하여 민감한 정보에 접근할 수 있는 경우가 많다.[17] 2008년 10월, 유럽 사법 당국은 중국에서 제조된 신용카드 판독기에 추적 불가능한 장치를 삽입하여 고객의 계정 정보를 훔치고 반복적인 은행 인출 및 인터넷 구매를 통해 약 1억 달러의 손실을 입힌 "매우 정교한 신용카드 사기 조직"을 적발했다.[18]

위험

공급망 공격의 위협은 현대 조직에 중대한 위험을 야기하며, 공격은 정보 기술 부문에만 국한되지 않는다. 공급망 공격은 석유 산업, 대형 소매업체, 제약 부문 및 복잡한 공급 네트워크를 가진 거의 모든 산업에 영향을 미친다.[2][9]

정보보안포럼은 공급망 공격에서 파생되는 위험이 공급업체와의 정보 공유 때문이라고 설명하며, "공급업체와의 정보 공유는 공급사슬 기능에 필수적이지만, 또한 위험을 야기한다... 공급사슬에서 침해된 정보는 조직 내부에서 침해된 정보만큼이나 파괴적일 수 있다"고 명시한다.[19]

반면 국립 컴퓨터 및 신흥 과학 대학의 무함마드 알리 나시르는 위에서 언급한 위험을 세계화의 더 넓은 추세와 연결시키며 "...세계화, 분권화, 공급망의 아웃소싱으로 인해, 더 많은 수의 개체가 관련되고 전 세계에 흩어져 있기 때문에 노출 지점의 수도 증가했다... 공급망에 대한 사이버 공격은 그 파급 효과 때문에 많은 연결된 개체에 한 번에 피해를 입히는 가장 파괴적인 방법이다."라고 말했다.[20]

잘못 관리된 공급망 관리 시스템은 사이버 공격에 대한 중대한 위험이 될 수 있으며, 이는 민감한 고객 정보 손실, 제조 공정 중단, 그리고 회사 평판 손상으로 이어질 수 있다.[21]

사례

컴파일러 공격

와이어드는 2019년 5월 3일 현재 최근의 소프트웨어 공급망 공격에서 연결되는 스레드를 보도했다.[22] 이들은 해적 사이트에 게시된 감염된, 불법 복제된, 인기 컴파일러로부터 확산된 것으로 추정된다. 즉, 손상된 버전의 애플 엑스코드 및 마이크로소프트 비주얼 스튜디오.[23] (이론적으로, 교대 컴파일러는[24] 컴파일러가 신뢰할 수 있는 루트일 때 컴파일러 공격을 감지할 수 있다.)

타깃

 타깃 코퍼레이션의 역사 § 2013년 보안 침해 문서에 이 부분의 추가 정보가 있습니다.
파일:Target Westminster, MD (7505810590).jpg
2013년 11월 27일부터 12월 15일 사이에 공급망 공격으로 4천만 명 고객의 금융 정보가 노출된 타깃 오프라인 매장의 모습

2013년 말, 미국 소매업체인 타깃은 소매 산업 역사상 가장 큰 데이터 침해 중 하나를 겪었다.[25]

2013년 11월 27일부터 12월 15일 사이에 타깃의 미국 오프라인 매장이 데이터 해킹을 당했다. 1,800개 이상의 매장 POS 시스템에 악성 소프트웨어가 유입된 후 약 4천만 명의 고객 신용카드 및 직불카드가 사기에 취약해졌다.[25] 타깃 고객 정보 데이터 침해는 회사의 2013년 4분기 이익이 46% 감소하는 직접적인 영향을 미쳤다.[26]

회사는 6개월 전 160만 달러 규모의 사이버 보안 시스템을 설치하기 시작했다. 타깃은 컴퓨터를 지속적으로 모니터링하는 보안 전문가 팀을 보유하고 있었다. 그럼에도 불구하고 공급망 공격은 이러한 보안 조치를 우회했다.[27]

사이버 범죄자들은 타깃의 주요 데이터 네트워크에 접근하기 위해 제3자 공급업체를 침투한 것으로 추정된다.[28] 공식적으로 확인되지는 않았지만,[29] 조사 관계자들은 해커들이 2013년 11월 15일 펜실베이니아에 본사를 둔 HVAC 시스템 공급업체인 파지오 기계 서비스(Fazio Mechanical Services)에서 훔친 암호 자격 증명을 사용하여 타깃 네트워크에 침입한 것으로 의심하고 있다.[30]

타깃을 상대로 부주의 및 보상적 손해배상을 요구하는 90건의 소송이 제기되었다. 타깃은 투자자들에게 보낸 4분기 보고서에 따르면 침해 대응에 약 6천1백만 달러를 지출했다.[31]

스턱스넷

 이 부분의 본문은 스턱스넷입니다.
섬네일을 만드는 중 오류 발생:
2010년 상하이 엑스포 이란 전시관의 부셰르 원자력 발전소 모형

스턱스넷은 미국-이스라엘 공동 사이버 작전으로 널리 알려진 이지만, 양국 정부 모두 공식적으로 개입을 확인하지는 않았다. 이 웜은 산업 제어 시스템, 특히 공장 기계 및 농축 우라늄 장비와 같은 전기 기계 공정을 자동화하는 시스템을 표적으로 삼는다. 스턱스넷은 프로그래머블 로직 컨트롤러(PLC)를 조작하도록 설계되어 무단 명령을 발행하여 산업 장비를 교란하면서 동시에 조작된 운영 데이터를 모니터링 시스템에 공급하여 활동을 숨겼다.[32][33]

스턱스넷은 이란의 우라늄 농축 프로그램을 방해하기 위해 개발된 것으로 널리 알려져 있다. 시만텍의 보안 대응 선임 이사인 케빈 호건은 대부분의 감염이 이란에서 발생했다고 밝혔다.[34] 분석가들은 주요 목표가 나탄즈 핵 시설의 우라늄 농축 시설이었을 것이라고 추정한다.[32]

스턱스넷은 처음에 감염된 USB 플래시 드라이브를 통해 이란의 나탄즈 핵 시설에 유입되었으며, 이는 대상 네트워크에 대한 물리적 접근이 필요했다. 보도에 따르면, 엔지니어 또는 유지보수 작업자들이 알게 모르게 공장 내부로 유입을 도왔다. 일단 내부에 진입한 웜은 지멘스 산업 제어 소프트웨어를 실행하는 네트워크 연결 컴퓨터에 걸쳐 확산되기 위해 윈도우 시스템의 여러 제로 데이 공격 취약점을 악용하여 자율적으로 확산되었다.[32][35][36]

ATM 악성 소프트웨어

최근 몇 년 동안 Suceful, Plotus, Tyupkin, GreenDispenser와 같은 악성 소프트웨어가 전 세계적으로, 특히 러시아우크라이나현금 자동 입출금기에 영향을 미쳤다.[37] GreenDispenser는 특히 공격자가 감염된 ATM 시스템에 접근하여 현금 금고를 제거할 수 있는 기능을 제공한다. 설치되면 GreenDispenser는 ATM에 '서비스 중단' 메시지를 표시할 수 있지만, 올바른 접근 자격 증명을 가진 공격자는 ATM의 현금 금고를 비우고 추적 불가능한 삭제 프로세스를 사용하여 시스템에서 악성 소프트웨어를 제거할 수 있다.[38]

다른 유형의 악성 소프트웨어는 일반적으로 유사한 방식으로 작동하여 기계의 메모리 저장소에서 마그네틱 스트라이프 데이터를 캡처하고 기계에 현금을 인출하도록 지시한다. 이 공격은 ATM 기술자 또는 기계에 열쇠를 가진 다른 사람과 같이 내부 접근 권한이 있는 사람이 ATM에 악성 소프트웨어를 설치해야 한다.[39]

2014년 3월 동유럽 은행 기관의 50개 이상의 ATM에서 활동했던 Tyupkin 악성 소프트웨어는 당시 미국, 인도, 중국으로도 확산된 것으로 추정된다. 이 악성 소프트웨어는 마이크로소프트 윈도우 32비트 운영 체제를 실행하는 주요 제조업체의 ATM에 영향을 미친다. 이 악성 소프트웨어는 각 기계에 얼마의 돈이 있는지에 대한 정보를 표시하고 공격자가 각 ATM의 선택된 카세트에서 40장의 지폐를 인출할 수 있도록 한다.[40]

NotPetya / M.E.Doc

 이 부분의 본문은 2017년 우크라이나 랜섬웨어 공격입니다.

2017년 6월, 우크라이나에서 널리 사용되는 금융 소프트웨어 M.E.Doc이 보안 연구원들에 의해 NotPetya 악성 소프트웨어 확산의 초기 벡터로 확인되었다. 보안 연구원들, 마이크로소프트 연구원들을 포함하여, NotPetya 감염이 M.E.Doc을 통해 발행된 손상된 업데이트에서 비롯되었을 수 있다고 밝혔다. 일부 분석가들은 이를 공급망 공격으로 묘사했지만, 정확한 침해 방법은 명확하게 식별되지 않았다. 소프트웨어 개발자들은 주장을 부인했지만 나중에 성명을 삭제하고 수사관들과 협력하고 있다고 밝혔다.[41][42][43]

NotPetya는 처음에 하드 드라이브를 암호화하고 비트코인으로 랜섬을 요구했기 때문에 랜섬웨어로 식별되었다. 그러나 복호화 키를 제공하는 데 사용된 이메일 계정이 폐쇄되어 피해자들은 파일을 복구할 방법이 없었다. 워너크라이와 달리 NotPetya에는 내장된 킬 스위치가 없어 중단하기가 더 어려웠다. 이 공격은 우크라이나의 은행, 공항, 키이우 지하철, 제약 회사, 체르노빌 원자력 발전소의 방사선 감지 시스템 등 여러 산업에 영향을 미쳤다. 또한 러시아, 영국, 인도, 미국 등 전 세계 조직에도 확산되었다.[44]

NotPetya는 미국 국가안보국이 원래 개발하고 나중에 유출된 취약점인 EternalBlue를 사용하여 확산되었다. EternalBlue는 이전에 2017년 5월 워너크라이 사이버 공격에 사용되었다. 이 취약점 공격은 NotPetya가 윈도우 서버 메시지 블록(SMB) 프로토콜을 통해 확산될 수 있도록 했다. 이 악성 소프트웨어는 또한 PsExec 및 윈도우 관리 도구를 사용하여 네트워크 내에서 확산되었다. 이러한 취약점 때문에 네트워크의 한 장치가 감염되면 악성 소프트웨어는 다른 연결된 시스템으로 빠르게 확산될 수 있었다.[44]

우크라이나 경찰은 M.E.Doc 직원들이 회사의 사이버 보안 인프라의 보안 취약점에 대한 안티바이러스 회사의 반복적인 경고를 인용하여 과실에 대한 형사 책임을 질 수 있다고 밝혔다. 우크라이나 사이버 경찰의 서게이 데미디욱 대령은 M.E.Doc이 시스템의 약점에 대해 보안 회사로부터 반복적으로 경고를 받았음에도 불구하고 조치를 취하지 않았다고 주장하며 "그들은 그것을 알고 있었다"고 말했다. 당국은 나중에 M.E.Doc이 수사관들과 협력했다고 보고했다.[43]

영국항공

2018년 8월 21일부터 9월 5일까지 영국항공은 공격을 받았다. 영국항공 웹사이트 결제 섹션에는 고객 결제 데이터를 수집하는 코드가 포함되어 있었다. 주입된 코드는 신용카드 정보를 baways.com 도메인으로 라우팅하도록 특별히 작성되었으며, 이는 영국항공에 속한 것으로 잘못 생각될 수 있었다.[45]

Magecart는 공격 배후에 있는 것으로 추정되는 단체이다. Magecart는 온라인 결제 프로세스를 통해 고객 정보를 훔치기 위해 웹 스키밍 방식을 사용하는 여러 해커 그룹에 붙여진 이름이다.[46] 이 공격으로 인해 약 380,000명의 고객의 개인 및 금융 데이터가 침해되었다. 영국항공은 2018년 10월에 추가로 185,000명의 고객의 개인 정보도 도난당했을 수 있다고 보고했다.[47]

솔라윈즈

 이 부분의 본문은 2020년 미국 연방 정부 데이터 침해입니다.

2020년 솔라윈즈 사이버 공격은 미국 연방 기관 여러 곳에서 사용되는 소프트웨어를 제공하는 IT 인프라 기업인 솔라윈즈를 표적으로 한 공급망 침해와 관련이 있었다.[48][49] 국가핵보안국(NNSA) 내 네트워크를 포함한다.[50][51] 러시아 해커들은 솔라윈즈가 개발한 널리 사용되는 네트워크 관리 소프트웨어인 오리온(Orion)에 악성 코드를 소프트웨어 업데이트에 주입하여 침투했다. 이로 인해 IT 모니터링 및 관리를 위해 오리온에 의존하는 여러 미국 정부 기관을 포함한 수많은 조직에 무단으로 접근할 수 있었다.[52]

2020년 12월 13일, 미국 국토안보부는 "SolarWinds Orion 코드 침해 완화"를 위한 긴급 지침 21-01을 발행하여, 영향을 받은 연방 기관에 손상된 윈도우 호스트 OS 인스턴스를 엔터프라이즈 도메인에서 분리하고 신뢰할 수 있는 소스를 사용하여 해당 호스트를 재구축하도록 요구했다. 이러한 손상된 시스템은 SolarWinds Orion을 실행하고 있었다.[53]

2020년 12월, 트렐릭스는 SolarWinds Orion 소프트웨어와 관련된 사이버 침해를 확인했으며, 이는 발견되기 전에 이미 침해된 상태였다. 마이크로소프트는 영향을 받은 조직 중 하나로, 침해와 관련된 악성 파일을 감지하고 제거했다.[54][55] 마이크로소프트는 그 이후 트렐릭스와 협력하여 사건에 대한 지속적인 조사를 진행하고 있다. 이 사이버 공격은 북미, 유럽, 아시아 및 중동의 정부, 컨설팅, 기술, 통신 및 광업 부문을 포함한 다양한 산업에서 사용되는 공급망 소프트웨어를 표적으로 삼았다.[55]

2021년 1월 5일, 연방수사국(FBI), 사이버보안 및 인프라 보안국(CISA), 미국 국가정보장실(ODNI), 미국 국가안보국(NSA)의 공동 성명은 SolarWinds 침해로 인해 약 18,000개의 공공 및 민간 부문 기관이 영향을 받았지만, 미국 정부 기관 중 침해된 것으로 확인된 곳은 10곳 미만이라고 밝혔다.[56]

마이크로소프트 익스체인지 서버

 이 부분의 본문은 2021년 마이크로소프트 익스체인지 서버 데이터 유출입니다.

2021년 2월 마이크로소프트는 공격자들이 "Azure 구성 요소의 작은 하위 집합", "Intune 구성 요소의 작은 하위 집합", "Exchange 구성 요소의 작은 하위 집합"에서 몇 개의 파일("서비스, 보안, ID의 하위 집합")을 각각 다운로드했다고 판단했다.[57] 마이크로소프트 저장소에는 프로덕션 자격 증명이 포함되어 있지 않았다.[57] 저장소는 12월에 보안 조치되었으며, 이러한 공격은 1월에 중단되었다.[57] 그러나 2021년 3월, 마이크로소프트 익스체인지 서버의 결함을 통해 설치된 백도어를 통해 2만 개 이상의 미국 조직이 침해되었다.[58] 영향을 받은 조직은 신용 조합, 지방 정부, 중소기업 등 자체 호스팅 이메일(클라우드 기반이 아닌 온사이트)을 사용한다. 이 결함은 2021년 3월 2일에 패치되었지만, 2021년 3월 5일까지 침해된 조직의 10%만이 패치를 적용했고, 백도어는 여전히 열려 있다.[59] 미국 당국은 2020년 12월에 영향을 받은 조직보다 작은 영향을 받은 조직에 통보하려고 시도하고 있다.[60]

마이크로소프트는 침해 지표 도구를 업데이트하고 익스체인지 서버 결함에 대한 긴급 완화 조치를 발표했다.[61] SolarWinds와 마이크로소프트 소프트웨어에 대한 공격은 2021년 3월 현재 독립적인 것으로 생각된다.[61] 침해 지표 도구를 통해 고객은 익스체인지 서버 로그 파일을 스캔하여 침해 여부를 확인할 수 있다.[61][62][63] 적어도 10개의 공격 그룹이 익스체인지 서버 결함을 사용하고 있다.[64][65][1] 웹 셸은 패치된 서버에 남아 있을 수 있으며, 이는 여전히 영향을 받는 서버를 기반으로 한 사이버 공격을 허용한다.[66] 2021년 3월 12일 현재 Check Point Research에 따르면 취약점 공격 시도는 몇 시간마다 두 배로 증가하고 있으며,[67] 일부는 보안 연구원 자신의 이름으로 이루어지고 있다.[68]

2021년 4월 14일까지 연방수사국(FBI)은 감염된 서버에서 웹 셸을 제거하기 위한 비밀 사이버 작전을 완료했으며, 서버 소유자에게 수행된 작업을 알리고 있었다.[69]

2021년 5월 마이크로소프트는 '노벨리움(Nobelium)'이라는 그룹이 24개국 150개 조직에 3000개의 악성 이메일을 발송했으며, 이 중 상당수는 배달 전에 차단되었다고 밝혔다. '노벨리움'은 미국 국제개발처(USAID)에서 사용하는 Constant Contact "이메일 마케팅 계정"에 접근했다.[70] 보안 연구원들은 '노벨리움'이 의심하지 않는 사용자들이 클릭하는 스피어 피싱 이메일 메시지를 작성한다고 주장한다. 이 링크는 악성 '노벨리움' 코드의 설치를 지시하여 사용자 시스템을 감염시키고, 랜섬, 스파이 활동, 허위 정보 등에 노출시킨다.[71] 미국 정부는 '노벨리움'이 러시아 연방보안국에서 비롯된 것으로 확인했다.[72] 2021년 7월까지 미국 정부는 익스체인지 서버 공격의 주동자를 지명할 것으로 예상된다.[73] "중국 국가안전부가 범죄 계약 해커를 사용해 왔다."[74][75]

2021년 9월 증권거래위원회(SEC) 집행 직원은 SolarWinds의 손상된 업데이트를 다운로드한 회사들에게 서버에 손상된 업데이트를 설치한 경우 SEC에 자발적으로 데이터를 제출하도록 요청했다.[76]

2022년 7월, IIS(익스체인지 서버에 기본 설치됨)에서 호스팅되는 악성 모듈인 세션매니저(SessionManager)가 2021년 3월부터 익스체인지 서버를 감염시킨 것으로 발견되었다. 세션매니저는 암호를 찾기 위해 메모리를 검색하고 새 모듈을 다운로드하여 서버를 하이재킹한다.[77]

골든 SAML

보안 회사인 만디안트는 국가 지원 그룹이 기업 클라우드에 접근하면 SAML을 악용하여 액티브 디렉터리 및 유사 서비스에 대한 연동 인증을 마음대로 얻을 수 있다는 것을 보여주었다.[a] 공격자가 접근 권한을 얻으면 조직에 속한 모든 정보나 자산에 침투할 수 있다. 이 기술을 통해 공격자는 대상 조직의 누구라도 가장할 수 있기 때문이다.[79] 기업과 기관이 클라우드 서비스로 자산을 계속 이전함에 따라 이러한 공격은 악의적인 행위자들에게 점차 더 매력적인 대상이 되고 있다.[80]

2020년, 솔라윈즈는 "솔로리게이트(Solorigate)"라고도 불리는 최초로 문서화된 골든 SAML 공격을 겪었다. 악의적인 행위자가 소프트웨어 업데이트의 소스 코드에 합법적으로 보이도록 만들어진 백도어 코드를 감염시켰다.[81] 고객들은 시스템에 오류가 있는 업데이트를 설치하기 시작했고, 결국 전 세계적으로 18,000명 이상이 영향을 받았다.[79] 이 공격은 여러 미국 정부 기관과 민간 부문 기관에도 영향을 미쳤다.[80]

콜로니얼 파이프라인

 이 부분의 본문은 콜로니얼 파이프라인 랜섬웨어 공격입니다.

2021년 5월, 콜로니얼 파이프라인에 대한 랜섬웨어 공격으로 주요 연료 유통망이 일시적으로 폐쇄되어 미국 동부 해안으로 가는 휘발유, 디젤, 제트 연료 공급이 중단되었다. 조 바이든 행정부는 부족 사태를 막기 위해 비상 권한을 발동했으며, 전문가들은 이 사건을 미국 인프라에 대한 최악의 사이버 공격으로 평가했다. 러시아와 연관된 사이버 범죄 그룹 다크사이드의 소행으로 알려진 이 공격은 연료 거래자들이 대체 공급 경로를 찾고 가격 급등에 대한 우려가 커지면서 중요 에너지 시스템의 취약성에 대한 우려를 불러일으켰다.[82]

2021년 6월 16일, 바이든 대통령은 푸틴 대통령에게 16개 핵심 인프라 부문에 대한 사이버 공격은 금지되어 있으며, 미국은 미래의 사이버 위협에 대응할 것이라고 밝혔다.[83] 미국 사이버보안 및 인프라 보안국(CISA)이 지정한 16개 핵심 인프라 부문에는 에너지, 식량 및 농업, 비상 서비스, 의료, 그리고 금융 서비스, 통신, 운송 시스템과 같은 기타 필수 산업이 포함된다.[84]

3CX 공격

2023년 3월, 음성 및 화상 채팅 앱인 3CX 폰 시스템이 소프트웨어에서 악성 활동이 감지되어 공급망 공격을 받았을 것으로 추정되었다. 이 앱은 식품에서 자동차에 이르는 다양한 산업에서 사용되며, 공격은 전 세계 수십만 명의 사용자에게 영향을 미칠 가능성이 있다.[85] 이 악성 소프트웨어는 트로이 목마 바이러스로서 Mac OS 및 마이크로소프트 설치 프로그램을 통해 확산되며, 설치 프로세스를 통해 호스트 장치를 감염시킨다. 이들은 위협 행위자가 제어하는 C2 서버에 연결되는 악성 페이로드를 통해 정보 스틸러를 사용했다.[86]

이 공격은 러시아 사이버 보안 회사인 카스퍼스키 랩이 2020년에 처음 발견한 Gopuram 백도어를 활용했다. 이 백도어의 사용은 2020년 남아시아 암호화폐 회사를 대상으로 한 공격에서 동일한 백도어를 사용한 라자루스 그룹으로 알려진 북한 사이버 범죄 그룹에 의해 공격이 실행되었음을 시사했다.[86] Gopuram 백도어는 라자루스가 표적으로 삼는 것으로 알려진 암호화폐 기관에 대한 다른 과거 공격에도 활용되었다.[85]

미국 국무부 공격

2023년 7월, 중국 정부 지원 해커들이 미국 국무부를 표적으로 삼아 여러 정부 직원의 마이크로소프트 이메일 계정을 해킹하여 기밀 정보에 접근했다. 이들은 국무부 직원 여러 명의 이메일 6만 건 가량에서 정보를 훔쳤다.[87] 국무부 관계자들은 도난당한 정보에 "피해자의 여행 일정과 외교적 협의"가 포함되어 있다고 밝혔다.[88] 이 정보가 악의적인 방식으로 사용되면 중요한 정부 관계자를 감시하고 기밀로 유지되어야 할 미국 통신을 추적하는 데 사용될 수 있다. 국무부 해킹은 마이크로소프트 익스체인지 서버의 취약점으로 인해 발생했으며, 이는 공급망 공격으로 분류된다.[87]

XZ Utils 백도어

 이 부분의 본문은 XZ Utils 백도어입니다.

2024년 3월, XZ Utils의 xz/liblzma에서 백도어가 의심되었고,[89] 버전 5.6.0 및 5.6.1에 악성 코드가 있는 것으로 알려졌다. 이 취약점 공격은 SSH 서버의 특정 타사 패치를 사용하지 않으면 잠복 상태로 남아 있었지만, 적절한 상황에서는 이러한 간섭으로 인해 악의적인 행위자가 sshd 인증 프로토콜 인증을 침해하고 전체 시스템에 원격으로 무단 접근할 수 있게 될 수 있었다.[90]

영향을 받은 리눅스 배포판 목록에는 데비안 불안정 버전,[91] 페도라 Rawhide,[92] 칼리 리눅스,[93] 그리고 OpenSUSE Tumbleweed가 포함된다.[94] 안정적인 릴리스 업데이트 모델을 따르는 대부분의 리눅스 배포판은 이전 버전의 xz를 사용하고 있었기 때문에 영향을 받지 않았다.[95] 아치 리눅스는 사용자들에게 즉시 업데이트할 것을 권고했지만, 아치의 OpenSSH 패키지에는 백도어에 필요한 일반적인 타사 패치가 포함되어 있지 않다고 언급했다.[96] FreeBSD는 이 공격의 영향을 받지 않는다. 지원되는 모든 FreeBSD 릴리스에는 영향을 받은 릴리스보다 이전 버전의 xz가 포함되어 있고, 이 공격은 리눅스의 glibc를 표적으로 하기 때문이다.[97]

이더리움 스마트 계약 및 NPM 라이브러리 오타 스쿼팅 공격

2024년 10월 31일, Phylum, Socket, Checkmarx와 같은 여러 보안 회사 사이버 보안 연구원들은 오픈 소스 Node Package Manager (NPM) 라이브러리 사용자들에 대한 공격을 감지했다. 미확인 공격자들은 플랫폼 사용자들이 악성 코드를 다운로드하도록 속이기 위해 287개 이상의 패키지를 게시했다.[98] 이 공격은 오타 스쿼팅이라는 기술을 사용했는데, 이는 합법적인 패키지의 이름을 유사하게 복사하여 의심하지 않는 개발자들이 실수로 잘못된 패키지를 다운로드하도록 속이는 것이다. Fetch-mock-jest 패키지의 경우, 공격자는 단어의 순서를 재배열하고 fetch 단어의 철자를 틀리게 하여 "jest-fet-mock"이라는 이름을 만들었다. 모방된 패키지의 종류를 기반으로, 연구원들은 이 공격이 NPM을 사용하는 소프트웨어 개발자들을 광범위하게 표적으로 삼았다고 믿는다. 표적이 된 패키지는 주로 목업 HTTP 요청 및 암호화폐 관련 패키지로, Puppeteer, Bignum.js, Fetch-mock-jest를 포함하며, 주로 개발 환경에서 사용된다.[99]

Phylum 연구원들은 이러한 오타 스쿼팅 패키지들이 처음에는 정상적으로 보였지만, 자세히 살펴보니 이해할 수 없는 난독화된 코드를 포함하고 있었다고 언급했다. 코드를 비난독화한 후, 연구원들은 악성 패키지가 실수로 다운로드되면 자동으로 이더리움 스마트 계약과 상호 작용하여 공격자가 사용하는 C2 서버의 IP 주소를 검색하는 스크립트를 실행한다는 것을 발견했다. 그런 다음 스크립트는 피해자 시스템에서 사용되는 운영 체제를 식별하고 계약에서 받은 IP 주소에서 호환되는 악성 소프트웨어를 다운로드한다. 이 악성 소프트웨어는 공격자의 C2 서버와 지속적인 통신을 유지하며, 운영 체제 버전, GPU, CPU, 시스템 메모리 양, 사용자 이름과 같은 사용자 시스템 정보를 주기적으로 유출한다.[98]

Checkmarkx 연구원 Yahud Gelb은 연구원들이 특정 IP 주소의 C2 서버를 차단하려고 시도하면 공격자가 이더리움 계약을 업데이트하여 다른 주소를 반환할 수 있다고 설명한다. 그는 계약 뒤의 메커니즘을 설명하면서 "이더리움 블록체인의 스마트 계약을 공개 게시판으로 생각해보라. 누구나 게시된 내용을 읽을 수 있지만, 소유자만이 업데이트할 수 있다."라고 썼다. 이는 현재 C2 서버가 당국에 의해 차단된 경우에도 악성 소프트웨어가 항상 스마트 계약을 쿼리하여 저장된 C2 서버 주소를 업데이트할 수 있기 때문에 문제를 복잡하게 만든다.

연구원들은 공격자들이 오타 스쿼팅을 통해 여러 회사의 소프트웨어 개발 공급망이 위험에 처할 수 있다고 우려했다. 그들은 공격의 추적 불가능한 특성과 정밀하게 설계된 지속성 방법이 다가오는 위협을 가중시킨다고 설명했다. 더욱이, 회사 직원들은 일반적으로 개발 환경을 사용할 때 높은 시스템 권한과 CI/CD 파이프라인에 대한 접근 권한을 가지고 있어 회사와 고객의 데이터를 더욱 위험에 빠뜨린다. 그들은 소프트웨어 개발 수명 주기의 어떤 단계에서든 위에 언급된 NPM 패키지를 사용하는 개발자는 주의를 기울이고 설치를 수행하기 전에 강력한 종속성 스캔을 구현해야 한다고 경고했다.[100]

공격자의 신원이나 동기에 대한 정보는 거의 없다. 그러나 연구원들은 악성 패키지의 비난독화된 코드에서 러시아어로 작성된 오류 메시지를 발견했지만, 이는 실제 범인들이 의심을 피하기 위해 설정한 오해의 소지가 있는 미스디렉트일 수 있다고 추측한다.[100] Phylum, Checkmarx, Socket 연구원들은 공급망 공격의 끊임없이 진화하는 특성과 위협 행위자들이 통제 하에 있는 서버의 탐지를 회피하기 위해 어떻게 창의적인 방법을 지속적으로 고안해야 하는지를 강조하며, 프로젝트 개발 단계에서 다운로드되는 모든 종속성을 다시 확인하는 것의 중요성을 강조했다.

예방

2021년 5월 12일, 국가 사이버 보안 개선을 위한 행정 명령 14028(EO)은 NIST와 기타 미국 정부 기관에 미국의 사이버 보안 강화를 지시했다.[101] 2021년 7월 11일(EO 일정 60일째), NIST는 사이버보안 및 인프라 보안국(CISA) 및 미국 관리예산실(OMB)과 협의하여 '4i': 핵심 소프트웨어 사용자를 위한 지침, 그리고 '4r': 소프트웨어 공급망의 보안 및 무결성에 대한 최소 공급업체 테스트 지침을 발표했다.[101]

  • 30일: 의견 수렴[102]
  • 45일: '핵심 소프트웨어' 정의[103]
  • 60일: EO 작업 4i, 4r: 사용자 지침 및 공급업체 테스트[101]
  • 180일: EO 작업 4c: 공급망 소프트웨어 보안 강화를 위한 지침
  • 270일: EO 작업 4e, 4s, 4t, 4u: 공급망 소프트웨어 강화를 위한 지침
  • 360일: EO 작업 4d: 공급망 소프트웨어 검토 및 업데이트 절차 지침
  • 365일: EO 작업 4w: 파일럿 지원 요약

정부

부시 및 오바마 행정부가 각각 통과시킨 포괄적 국가 사이버 보안 이니셔티브 및 사이버 공간 정책 검토는 글로벌 공급망 위험 관리를 위한 다각적인 접근 방식 개발에 미국 연방 자금을 지원하도록 지시한다.[104][105] 테크놀로지 혁신 관리 검토(Technology Innovation Management Review)의 아드리안 데이비스에 따르면, 공급망 공격으로부터 조직을 보호하는 것은 사이버 복원력이 있는 시스템을 구축하는 것에서 시작된다.[106] 공급망 복원력은 공급망 위험 관리 전문가 도널 월터스에 따르면 "예상치 못한 교란에 대처할 수 있는 공급망의 능력"이며, 그 특성 중 하나는 공급망이 침투에 가장 취약한 지점을 회사 전체에서 인식하는 것이다. 공급망 관리는 효과적인 공급망 복원력을 구축하는 데 중요한 역할을 한다.[107]

2015년 3월, 보수당과 자유민주당 연립정부 하에서 영국 기업부는 중소기업을 사이버 공격으로부터 보호하기 위한 새로운 노력을 발표했으며, 여기에는 공급망 복원력 개선 조치가 포함되었다.[108]

영국 정부는 사이버 보안 필수 스키마를 개발하여 기업들이 공급망과 전반적인 사이버 보안을 보호하기 위한 모범 사례를 교육하고 있다.[109][110]

금융 기관

미국 후결제 회사인 예탁결제원(Depository Trust and Clearing Group)은 운영에서 공급망 전반의 취약점 관리를 위한 거버넌스를 구현하고 전체 개발 수명 주기 동안 IT 보안을 검토하며, 여기에는 소프트웨어 코딩 및 하드웨어 제조 장소도 포함된다.[111]

2014년 PwC 보고서 "위협에 현명하게 대처하기: 사이버 복원력 있는 금융 기관 구축"에서 이 금융 서비스 회사는 사이버 공격 완화를 위한 다음 접근 방식을 권장한다:

"금융 기관의 수익, 평판, 브랜드 및 지적 재산에 대한 잠재적 손상을 피하기 위해 경영진은 사이버 위험에 대한 소유권을 가져야 한다. 특히, 기관이 사이버 위험에 어떻게 방어하고 대응할지, 그리고 조직을 사이버 복원력 있게 만드는 데 무엇이 필요한지 이해하기 위해 미리 협력해야 한다.[112]

사이버 보안 기업

트렐릭스는 첨단 사이버 위협(예: 지능형 지속 공격 및 스피어 피싱)에 대한 자동화된 위협 포렌식 및 동적 악성 소프트웨어 보호를 제공하는 미국 네트워크 보안 회사이며,[113] 기업들에게 공급망의 복원력을 구축하기 위한 특정 원칙을 갖추도록 권고한다. 여기에는 다음이 포함된다.[114]

  • 소규모 공급업체 기반: 이를 통해 기업은 공급업체에 대한 통제를 강화할 수 있다.
  • 엄격한 공급업체 통제: 승인된 프로토콜 목록을 준수하도록 공급업체에 엄격한 통제를 부과한다. 또한 공급업체 현장에서 정기적으로 현장 감사 및 인력이 비즈니스 목적으로 방문하여 통제를 강화한다.
  • 설계에 보안 내장: 체크 디지트와 같은 보안 기능은 이전에 코드에 대한 무단 접근을 감지하도록 소프트웨어에 설계되어야 한다. 코드를 기능적으로 강화하고 보안적으로 강화하기 위한 반복적인 테스트 프로세스가 좋은 접근 방식이다.[115]

2015년 4월 27일, 카스퍼스키 랩 GReAT의 선임 보안 연구원인 세르게이 로슈킨은 사이버 보안 컨퍼런스에서 표적 공격 및 사이버 스파이 캠페인으로 인한 위험 관리에 대해 연설하면서 다음과 같이 말했다.

"고급 위협에 대한 완화 전략에는 보안 정책 및 교육, 네트워크 보안, 포괄적인 시스템 관리 및... 소프트웨어 패치 기능, 애플리케이션 제어, 화이트리스팅 및 기본 거부 모드와 같은 전문 보안 솔루션이 포함되어야 한다."[116]

같이 보기

내용주

  1. Shaked Reiner (2017년 12월 11일) Golden SAML: Newly Discovered Attack Technique Forges Authentication to Cloud Apps Mandiant 인용[78]

각주

  1. “Supply chain attacks show why you should be wary of third-party providers”. 《CSO Online》. 
  2. “Next Generation Cyber Attacks Target Oil And Gas SCADA | Pipeline & Gas Journal”. 《www.pipelineandgasjournal.com》. 2015년 2월 9일에 원본 문서에서 보존된 문서. 2015년 10월 27일에 확인함. 
  3. “Supply chain attacks” (미국 영어). 《docs.microsoft.com》. 2022년 4월 10일에 확인함. 
  4. “New malware hits ATM and electronic ticketing machines”. 《SC Magazine UK》. 2014년 11월 28일. 2015년 10월 29일에 확인함. 
  5. “2019 Internet Security Threat Report Executive Summary”. 《Broadcom》. 2021년 11월 23일에 확인함. 
  6. “Supply Chain Definition | Investopedia” (미국 영어). 《Investopedia》. 2015년 11월 4일에 확인함. 
  7. Supply chain, cyber security and geo-political issues pose the greatest risks, as risk goes up in importance and profile say risk managers at sword active risk conference. (28 July 2015). M2 Presswire Retrieved on 2015-11-4
  8. Napolitano, J. (6 January 2011). How to secure the global supply chain. Wall Street Journal Retrieved on 2015-11-4
  9. Kuchler, Hannah (2014년 5월 28일). “Cyber attackers 'target healthcare and pharma companies'. 《Financial Times》. ISSN 0307-1766. 2015년 10월 27일에 확인함. 
  10. Goodin, Dan (2024년 6월 24일). “Backdoor slipped into multiple WordPress plugins in ongoing supply-chain attack” (미국 영어). 《Ars Technica》. 2024년 6월 25일에 확인함. 
  11. “Drug theft goes big”. 《Fortune》. 2015년 11월 4일에 확인함. 
  12. “Solving the Eli Lilly Drug Theft”. 《www.securitymagazine.com》. 2015년 11월 4일에 확인함. 
  13. CERT-UK (2015). “Cyber-security risks in the supply chain” (PDF). 2015년 2월 18일에 원본 문서 (PDF)에서 보존된 문서. 2015년 10월 27일에 확인함. 
  14. BRAD D. WILLIAMS (July 01, 2021) US-UK Warn Of New Worldwide Russian Cyberespionage Context for some threat naming schemas: APT, GRU, Fancy bear, SVR, etc.
  15. 《Software Supply Chain Attacks, a Threat to Global Cybersecurity: SolarWinds' Case Study | IIETA》 (영어). 《www.iieta.org》. doi:10.18280/ijsse.110505. 2024년 12월 2일에 확인함. 
  16. “2014 Data Breach Investigations Report” (PDF). Verizon Enterprise. 2014. 2015년 10월 27일에 확인함. 
  17. Modine, Austin (2008년 10월 10일). “Organized crime tampers with European card swipe devices”. 《더 레지스터. 2015년 10월 27일에 확인함. 
  18. Gorman, Siobhan. “Fraud Ring Funnels Data From Cards to Pakistan”. 《Wall Street Journal》. ISSN 0099-9660. 2015년 10월 27일에 확인함. 
  19. “Security Form” (PDF). 
  20. Nasir, Muhammad Ali (June 2015). 〈Potential cyber-attacks against global oil supply chain〉. 《2015 International Conference on Cyber Situational Awareness, Data Analytics and Assessment (CyberSA)》. 1–7쪽. doi:10.1109/CyberSA.2015.7166137. ISBN 978-0-9932-3380-7. S2CID 18999955. 
  21. Urciuoli, Luca (Apr 2015). 《Cyber-Resilience: A Strategic Approach for Supply Chain Management》. 《Talent First Network》. ProQuest 1676101578.  |id=에 templatestyles stripmarker가 있음(위치 1) (도움말)
  22. Greenberg, Andy (2019년 5월 3일). “A Mysterious Hacker Group Is On a Supply Chain Hijacking Spree”. 《Wired》. ISSN 1059-1028. 2019년 7월 16일에 확인함. 
  23. Cox, Joseph (2015년 9월 18일). “Hack Brief: Malware Sneaks Into the Chinese iOS App Store”. 《Wired》. ISSN 1059-1028. 2019년 7월 16일에 확인함. 
  24. “Fully Countering Trusting Trust through Diverse Double-Compiling”. 《dwheeler.com》. 2019년 7월 16일에 확인함. 
  25. “Target data breach: Why UK business needs to pay attention”. 《ComputerWeekly》. 2015년 10월 27일에 확인함. 
  26. Harris, Elizabeth A. (2014년 2월 27일). “Data Breach Hurts Profit at Target”. 《The New York Times》. ISSN 0362-4331. 2015년 10월 27일에 확인함. 
  27. “Missed Alarms and 40 Million Stolen Credit Card Numbers: How Target Blew It”. 《Bloomberg.com》. 2014년 3월 17일. 2015년 10월 30일에 확인함. 
  28. Kuchler, Hannah (2014년 10월 20일). “Hackers find suppliers are an easy way to target companies”. 《Financial Times》. ISSN 0307-1766. 2015년 10월 27일에 확인함. 
  29. “Archived copy” (PDF). 6 November 2015에 원본 문서 (PDF)에서 보존된 문서. 27 October 2015에 확인함. 
  30. “Target Hackers Broke in Via HVAC Company — Krebs on Security”. 《krebsonsecurity.com》. 2014년 2월 9일. 2015년 10월 27일에 확인함. 
  31. Parks, Miles (2015년 3월 19일). “Target Offers $10 Million Settlement In Data Breach Lawsuit”. 《NPR.org》. 2015년 10월 30일에 확인함. 
  32. “Confirmed: US and Israel created Stuxnet, lost control of it”. 《Ars Technica》. 2012년 6월. 2015년 10월 27일에 확인함. 
  33. Gross, Michael Joseph (2011년 4월). “A Declaration of Cyber-War”. 《Vanity Fair》. 2025년 2월 26일에 확인함. 
  34. “Iran was prime target of SCADA worm”. 《Computerworld》. 2010년 7월 23일. 2010년 7월 27일에 원본 문서에서 보존된 문서. 2015년 10월 27일에 확인함. 
  35. “Stuxnet Malware Mitigation (Update B)”. 《사이버보안 및 인프라 보안국 (CISA)》. 2014년 1월 8일. 2025년 2월 27일에 확인함. 
  36. “The real story of Stuxnet”. 《IEEE Spectrum》. 2024년 5월 24일. 2025년 2월 27일에 확인함. 
  37. “Tyupkin Virus (Malware) | ATM Machine Security | Virus Definition”. 《www.kaspersky.com》. 2015년 11월 4일에 확인함. 
  38. “Meet GreenDispenser: A New Breed of ATM Malware | Proofpoint”. 《www.proofpoint.com》. 2015년 9월 22일. 2015년 10월 30일에 확인함. 
  39. “New ATM Malware Captures PINs and Cash — Updated”. 《WIRED》. 2015년 10월 30일에 확인함. 
  40. “Tyupkin: manipulating ATM machines with malware - Securelist”. 《securelist.com》. 2014년 10월 7일. 2020년 5월 19일에 확인함. 
  41. “Tax software blamed for cyber-attack spread”. 《BBC》. 2017년 6월 28일. 2025년 2월 27일에 확인함. 
  42. Polityuk, Jack Stubbs (2017년 7월 3일). “Family firm in Ukraine says it was not responsible for cyber attack”. 《reuters.com》. 2019년 6월 1일에 확인함. 
  43. “Ukrainian software company will face charges over cyber attack, police suggest” (오스트레일리아 영어). 《ABC News》. 2017년 7월 3일. 2023년 5월 2일에 확인함. 
  44. Brewster, Thomas. “Petya Or NotPetya: Why The Latest Ransomware Is Deadlier Than WannaCry” (영어). 《Forbes》. 2023년 5월 2일에 확인함. 
  45. “Customer data theft”. 《britishairways.com》. 2019년 6월 1일에 확인함. 
  46. “What Is Magecart | Attack Examples & Prevention Techniques | Imperva” (미국 영어). 《Learning Center》. 2023년 5월 2일에 확인함. 
  47. Kolesnikov, Oleg; Harshvardhan, Parashar (2018년 11월 6일). “Securonix Threat Research: BRITISH AIRWAYS BREACH: MAGECART FORMGRABBING SUPPLY CHAIN ATTACK DETECTION” (PDF). 《Securonix.com》. 2023년 5월 2일에 확인함. 
  48. Christina Zhao (2020년 12월 14일). “Solar Winds, Probably Hacked by Russia, Serves White House, Pentagon, NASA”. 《뉴스위크. 2020년 12월 14일에 확인함. 
  49. Sanger, David E.; Perlroth, Nicole; Schmitt, Eric (2020년 12월 15일). “Scope of Russian Hack Becomes Clear: Multiple U.S. Agencies Were Hit”. 《The New York Times》. 
  50. Johnson, Kevin; Snider, Mike (2020년 12월 18일). “Russian cyber attack against US: Worst may be yet to come, experts fear, as Trump remains mum”. 《USA Today》. 
  51. “Nuclear weapons agency breached amid massive cyber onslaught”. 《Politico》. 2020년 12월 17일. 2025년 3월 2일에 확인함. 
  52. Alkhadra, Rahaf; Abuzaid, Joud; AlShammari, Mariam; Mohammad, Nazeeruddin (2021년 7월 6일). 〈Solar Winds Hack: In-Depth Analysis and Countermeasures〉. 《2021 12th International Conference on Computing Communication and Networking Technologies (ICCCNT)》. IEEE. 1–7쪽. doi:10.1109/ICCCNT51525.2021.9579611. ISBN 978-1-7281-8595-8. 
  53. “Emergency Directives - ED 21-01: Mitigate SolarWinds Orion Code Compromise”. 《CISA》. 2020년 12월 13일. 2025년 3월 2일에 확인함. 
  54. “Microsoft says hackers were able to see some of its source code”. 《The Verge》. 2020년 12월 31일. 2025년 3월 2일에 확인함. 
  55. “Microsoft identifies more than 40 organizations targeted in massive cyber breach”. 《CNN》. 2020년 12월 17일. 2025년 3월 2일에 확인함. 
  56. “Joint Statement by the Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the Office of the Director of National Intelligence (ODNI), and the National Security Agency (NSA) | CISA” (영어). 《www.cisa.gov》. 2021년 1월 5일. 2024년 12월 2일에 확인함. 
  57. Goodin, Dan (2021년 2월 19일). “Microsoft says SolarWinds hackers stole source code for 3 products”. 《Ars Technica》. 
  58. “China's and Russia's spying sprees will take years to unpack”. 《Ars Technica》. 2021년 3월 6일. 
  59. The_Exchange_Team Microsoft (2021년 3월 8일) March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server E2019 CU3용 업데이트는 2021년 3월 10일에 출시되었다. E2016 CU12, 13 및 17. E2013 CU21 및 22. E2019 CU4, 5, 6용 업데이트는 2021년 3월 8일에 출시되었다. E2016 CU14, 15, 16.
  60. “Joseph Menn, Raphael Satter, Trevor Hunnicutt (2021년 3월 5일) More than 20,000 U.S. organizations compromised through Microsoft flaw”. 
  61. Williams, Brad D. (2021년 3월 6일). “Microsoft Pushes Urgent Fixes Overnight As Threat Actors Compromise Exchange Servers Worldwide”. 《Breaking Defense》. 
  62. Newman, Lily Hay. “It's Open Season for Microsoft Exchange Server Hacks” – www.wired.com 경유. 
  63. (2021년 3월 9일) I can't believe I have to say this (again) ...
  64. Foundation, Thomson Reuters. “At least 10 hacking groups using Microsoft software flaw -researchers”. 
  65. Allana Akhar (2021년 3월 12일) Google accused Microsoft of unfairly attacking the tech giant to distract from the massive Exchange hack Rival distractions
  66. Goodin, Dan (2021년 3월 23일). “Ransomware operators are piling on already hacked Exchange servers”. 《Ars Technica》. 
  67. “Microsoft Exchange Server hacks 'doubling' every two hours”. 《ZDNET》. 
  68. Shadowserver (2021년 3월 28일) Attackers Breach 21,000 Microsoft Exchange Servers, Install Malware Implicating Brian Krebs (krebsonsecurity.com) malicious code spoofing Krebs
  69. Williams, Brad D. (2021년 4월 14일). “Revealed: Secret FBI Cyber Op To Clean Exchange Servers”. 《Breaking Defense》. 
  70. Jill Disis and Zahid Mahmood (2021년 5월 28일) Microsoft says SolarWinds hackers have struck again at the US and other countries
  71. “The SolarWinds hackers aren't back—they never went away”. 《Ars Technica》. 2021년 5월 30일. 
  72. Goodin, Dan (2021년 6월 26일). “SolarWinds hackers breach new victims, including a Microsoft support agent”. 《Ars Technica》. 
  73. Williams, Brad D. (2021년 7월 2일). “China Likely Outed Soon For Exchange Hacks”. 《Breaking Defense》. 
  74. “Microsoft Exchange hack caused by China, US and allies say”. 《AP News》. 2021년 7월 19일. 
  75. Williams, Brad D. (2021년 7월 22일). “US Playing Long Game To Pressure China On Cyber Ops: Experts”. 《Breaking Defense》. 
  76. Christopher Bing and Chris Prentice, Joseph Menn (2021년 9월 10일) Wide-Ranging SolarWinds Probe Sparks Fear in Corporate America (Reuters.com)
  77. Dan Goodin (2022년 6월 30일) Microsoft Exchange servers worldwide hit by stealthy new backdoor
  78. Dan Goodin (2021년 12월 6일) SolarWinds Hackers Have a Whole Bag of New Tricks For Mass Compromise Attacks
  79. “Golden SAML Revisited: The Solorigate Connection” (영어). 《www.cyberark.com》. 2023년 5월 2일에 확인함. 
  80. “Detection And Hunting Of Golden SAML Attack” (영어). 《blog.sygnia.co》. 2021년 7월 21일. 2023년 5월 2일에 확인함. 
  81. Goud, Naveen (2021년 1월 7일). “What is Solorigate” (미국 영어). 《Cybersecurity Insiders》. 2023년 5월 2일에 확인함. 
  82. “US invokes emergency powers after cyber-attack on fuel pipeline”. 《The Guardian》. 2021년 5월 10일. 2025년 2월 28일에 확인함. 
  83. “Massive Ransomware Attack May Impact Thousands of Victims”. 《Yahoo Finance (Bloomberg)》. 2021년 7월 3일. 2025년 2월 28일에 확인함. 
  84. “Critical Infrastructure Sectors”. 《U.S. Cybersecurity and Infrastructure Security Agency (CISA)》. 2025년 2월 28일에 확인함. 
  85. Paganini, Pierluigi (2023년 4월 4일). “3CX Supply chain attack allowed targeting cryptocurrency companies” (미국 영어). 《Security Affairs》. 2023년 5월 2일에 확인함. 
  86. “Not just an infostealer: Gopuram backdoor deployed through 3CX supply chain attack”. 《securelist.com》. 2023년 4월 3일. 2023년 5월 2일에 확인함. 
  87. Lyngaas, Sean (2023년 9월 28일). “Chinese hackers stole 60,000 emails from senior State Department officials in May | CNN Politics” (영어). 《CNN》. 2024년 12월 2일에 확인함. 
  88. “Chinese hackers nab 60,000 emails in State Department breach” (영어). 《POLITICO》. 2023년 9월 27일. 2024년 12월 2일에 확인함. 
  89. Freund, Andres (2024년 3월 29일). “backdoor in upstream xz/liblzma leading to ssh server compromise”. oss-security mailing list. 
  90. “Urgent security alert for Fedora 41 and Rawhide users” (영어). 《www.redhat.com》. 2024년 3월 29일에 확인함. 
  91. “CVE-2024-3094”. 《security-tracker.debian.org》. 2024년 3월 30일에 확인함. 
  92. “Urgent security alert for Fedora 41 and Fedora Rawhide users” (영어). 《www.redhat.com》. 2024년 3월 30일에 확인함. 
  93. “All about the xz-utils backdoor | Kali Linux Blog” (영어). 《Kali Linux》. 2024년 3월 29일. 2024년 3월 30일에 확인함. 
  94. “openSUSE addresses supply chain attack against xz compression library” (영어). 《openSUSE News》. 2024년 3월 29일. 2024년 3월 30일에 확인함. 
  95. James, Sam. “xz-utils backdoor situation” (영어). 《Gist》. 
  96. “Arch Linux - News: The xz package has been backdoored”. 《archlinux.org》. 2024년 3월 30일에 확인함. 
  97. “Disclosed backdoor in xz releases - FreeBSD not affected”. 2024년 3월 30일에 확인함. 
  98. “Fake Puppeteer Packages Contain Malware” (영어). 《Phylum Research》. 2024년 10월 31일. 2025년 2월 27일에 확인함. 
  99. “npm_ethereum_smart_contracts_campaign” (영어). 《Github》. 2025년 2월 27일에 확인함. 
  100. “Massive npm Malware Campaign Leverages Ethereum Smart Contra...” (미국 영어). 《Socket》. 2025년 2월 27일에 확인함. 
  101. 《NIST Delivers Two Key Publications to Enhance Software Supply Chain Security Called for by Executive Order》. 《NIST》. 2021년 7월 9일 – www.nist.gov 경유. 
  102. NIST (2021년 6월 2-3일) Workshop and Call for Position Papers on Standards and Guidelines to Enhance Software Supply Chain Security 참가자 1400명, 입장 문서 150개
  103. NIST (2021년 6월 25일) Definition of Critical Software Under Executive Order (EO) 14028 또 다른 NIST 출처: EXECUTIVE ORDER 14028, IMPROVING THE NATION'S CYBERSECURITY task 4g (2021년 6월 26일) Critical Software Definition
  104. “Cyberspace Policy Review” (PDF). 백악관. 2009년 5월 30일에 원본 문서 (PDF)에서 보존된 문서. 2015년 10월 29일에 확인함. 
  105. “The Comprehensive National Cybersecurity Initiative”. 《The White House》. 2015년 10월 29일에 확인함. 
  106. Davis, A. (2015). Building cyber-resilience into supply chains. Technology Innovation Management Review, 5(4), 19-27. Retrieved on 29-10-2015
  107. Waters, D. 2011. Supply Chain Risk Management (2nd ed.). London: Kogan Page. Accessed 29-10-2015
  108. “Cyber security insurance: new steps to make UK world center - Press releases - GOV.UK”. 《www.gov.uk》. 2015년 10월 30일에 확인함. 
  109. “Cyber Essentials - OFFICIAL SITE”. 《www.cyberstreetwise.com》. 2015년 10월 30일에 확인함. 
  110. “Supply Chain Attacks: 6 Steps to protect your software supply chain”. 《GitGuardian》. 2021년 11월 5일. 2023년 9월 5일에 확인함. 
  111. Hoover, J. N. (2009). Secure the cyber supply chain. InformationWeek, (1247), 45-46,48,50,52. Retrieved from 2015-10-29
  112. “Threat smart: Building a cyber resilient financial institution” (PDF). 《FS Viewpoint》. PwC. 2014년 10월. 2020년 6월 4일에 확인함. 
  113. “Advanced Cyber Security - Stop Cyber Attacks | FireEye”. 《FireEye》. 2015년 10월 30일에 확인함. 
  114. Xuan, Cho Do; Duong, Duc; Dau, Hoang Xuan (2021년 6월 21일). 《A multi-layer approach for advanced persistent threat detection using machine learning based on network traffic》. 《Journal of Intelligent & Fuzzy Systems》 40. 11311–11329쪽. doi:10.3233/jifs-202465. ISSN 1064-1246. S2CID 235815012. 
  115. “BEST PRACTICES IN CYBER SUPPLY CHAIN RISK MANAGEMENT” (PDF). 2015년 10월 30일에 확인함. 
  116. “Kaspersky Lab and EY Warn Organizations to Get Prepared for Cyberthreats | Kaspersky Lab”. 《www.kaspersky.com》. 2015년 10월 30일에 확인함. 

외부 링크

원본 주소 "https://www.hanul.wiki/w/index.php?title=공급망_공격&oldid=2152278"